LLM大模型安全(4)- 供应链漏洞
LLM大模型安全(4)- 供应链漏洞 原创 比心皮卡丘 暴暴的皮卡丘 2024-11-15 18:08 本篇为大模型系列第四篇,讲述供应链漏洞;涉及较广,包含代码三方组件,云基础K8S、模型库等等,在本文最后章节介绍了目前真实应用的漏洞案例。 LLM系列前三篇 LLM大模型安全(1)-快速注入&不安全输出处理 LLM大模型安全(2)-训练数据投毒攻击 LLM大模型安全(3)- 模型DOS攻
继续阅读标签: 敏感信息
【Pikachu】PHP反序列化RCE实战
【Pikachu】PHP反序列化RCE实战 原创 儒道易行 儒道易行 2024-11-15 18:00 痛是你活着的证明 1.PHP反序列化概述 在理解 PHP 中 serialize() 和 unserialize() 这两个函数的工作原理之前,我们需要先了解它们各自的功能及其潜在的安全隐患。接下来,我会对相关概念做更详细的扩展解释。 1. 序列化 serialize() 序列化(seriali
继续阅读【已复现】Fortinet FortiManager 身份认证绕过漏洞(CVE-2024-47575)安全风险通告第二次更新
【已复现】Fortinet FortiManager 身份认证绕过漏洞(CVE-2024-47575)安全风险通告第二次更新 奇安信 CERT 2024-11-15 16:50 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Fortinet FortiManager 身份认证绕过漏洞 漏洞编号 QVD-2024-43936,CVE-2024-47575 公开时间 2024-1
继续阅读【漏洞通告】Ivanti Endpoint Manager SQL注入漏洞安全风险通告
【漏洞通告】Ivanti Endpoint Manager SQL注入漏洞安全风险通告 嘉诚安全 2024-11-14 10:49 漏洞背景 近日,嘉诚安全监测到Ivanti官方修复了一个Ivanti Endpoint Manager SQL注入漏洞,漏洞编号为:CVE-2024-50330。 Ivanti Endpoint Manager(EPM)是由Ivanti公司开发的一款综合性端点管理解决
继续阅读【漏洞预警】Php开源框架-Laravel注入漏洞CVE-2024-52301
【漏洞预警】Php开源框架-Laravel注入漏洞CVE-2024-52301 cexlife 飓风网络安全 2024-11-13 22:24 漏洞描述: Laravel是一个基于PHP的开源Web应用框架,它提供了一系列工具和特性,旨在简化Web应用程序的开发过程,Laravel中修复了一个环境变量注入漏洞(CVE-2024-52301),该漏洞的CVSS评分为8.7,Laravel框架受影响版
继续阅读微软11月补丁日多个产品安全漏洞风险通告:2个在野利用、4个紧急漏洞
微软11月补丁日多个产品安全漏洞风险通告:2个在野利用、4个紧急漏洞 奇安信 CERT 2024-11-13 09:02 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2024年11月补丁日多个产品安全漏洞 影响产品 Windows Kerberos、Windows DWM、Microsoft Exchange Server等。 公开时间 2024-11-13 影响对象数
继续阅读漏洞推送|【未公开】东胜物流软件GetDataListCA存在SQL注入漏洞
漏洞推送|【未公开】东胜物流软件GetDataListCA存在SQL注入漏洞 原创 小白菜 小白菜安全 2024-11-12 18:45 漏洞描述 东胜物流软件是一款致力于为客户提供IT支撑的 SOP, 帮助客户大幅提高工作效率,降低各个环节潜在风险的物流软件。东胜物流软件 GetDataListCA 接口处存在 SQL 注入漏洞,攻击者可通过该漏洞获取数据库敏感信息。 资产信息 fofa : b
继续阅读25家跨国企业数据泄露,MOVEit漏洞引发重大安全危机
25家跨国企业数据泄露,MOVEit漏洞引发重大安全危机 安全内参 2024-11-12 17:50 关注我们 带你读懂网络安全 近日,据网络安全公司HudsonRock报道,一名网名为“Nam3L3ss”的黑客公开发布了利用MOVEit漏洞获取的大量企业员工数据,据称来自麦当劳、汇丰、亚马逊、联想、惠普等多家知名跨国企业。 25家跨国企业员工数据疑遭泄漏 MOVEit是一款被广泛使用的文件传输软
继续阅读(0day)全新优客API接口管理系统代码审计
(0day)全新优客API接口管理系统代码审计 原创 Mstir 星悦安全 2024-11-12 03:43 点击上方 蓝字关注我们 并设为 星标 0x00 前言 全新2024优客API接口管理系统,内置30+API接口,支持服务器信息,网站ICP备案,抖音无水印,QQ在线状态QQ头像,获取历史上的今天,IP签名档,ICO站标获,随机动漫图,网站标题获取,爱站权重获取,城市天气获取,随机一言,皮皮
继续阅读【漏洞预警】H3C CVM fileUpload/fd文件上传限制不当漏洞
【漏洞预警】H3C CVM fileUpload/fd文件上传限制不当漏洞 cexlife 飓风网络安全 2024-11-11 22:07 漏洞描述: H3C CVM cas/fileUpload/fd接口任意文件上传漏洞Poc已公开,未授权的攻击者可以上传任意文件,获取webshell控制服务器权限,读取敏感信息等,官方已针对此漏洞发布漏洞修复版本,建议受影响用户及时升级到漏洞修复版本。修复方案
继续阅读网络犯罪分子使用 Excel 漏洞来传播无文件 Remcos RAT 恶意软件
网络犯罪分子使用 Excel 漏洞来传播无文件 Remcos RAT 恶意软件 信息安全大事件 2024-11-11 20:17 网络安全研究人员发现了一种新的网络钓鱼活动,该活动传播了一种名为 Remcos RAT 的已知商业恶意软件的新无文件变体。 Remcos RAT“为购买提供广泛的高级功能,以远程控制属于买家的计算机,”Fortinet FortiGuard Labs 研究员 Xiao
继续阅读马自达爆出安全漏洞,影响旗下多款车型
马自达爆出安全漏洞,影响旗下多款车型 赛博研究院 赛博研究院 2024-11-11 19:25 趋势科技安全研究员披露,马自达旗下多款车型的CMU车机系统(Connect Connectivity Master Unit0)存在高危安全漏洞,威胁攻击者可利用漏洞非法获得Root权限,并执行任意代码。 据悉,安全漏洞涉及系统版本为74.00.324A的车机,主要影响马自达3(2014-2021年款)
继续阅读一则SSRF漏洞的故事
一则SSRF漏洞的故事 迪哥讲事 2024-11-08 23:54 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 背景介绍 该项目为一个云银行平台,使银行提供商能够根据他们的描述快速创建、推出和服务贷款和存款产品。 漏洞发现 白帽小哥正在测试的子域有两个权限Admin&am
继续阅读漏洞推送|章管家listUploadIntelligent.htm存在SQL注入漏洞
漏洞推送|章管家listUploadIntelligent.htm存在SQL注入漏洞 小白菜安全 2024-11-08 23:37 漏洞描述 章管家是上海建业信息科技股份有限公司推出的一款针对传统印章风险管理提供的整套解决方案的工具。其系统低版本listUploadIntelligent.htm存在sql注入漏洞,攻击者可通过该漏洞获取数据库敏感信息,请及时联系厂商修复。 资产信息 fofa:ap
继续阅读Nacos从快速发现到漏洞利用,没想到如此简单?
Nacos从快速发现到漏洞利用,没想到如此简单? 原创 小白 鹏组安全 2024-11-07 22:56 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! nacos查找方法 1、fofa语法类的搜索引擎 app="NACOS" port="8848" 2、如果没有明显特征,那就通过被动扫描器 ,如: burp的插件TsojanScan( http
继续阅读(SRC漏洞挖掘五)越权漏洞
(SRC漏洞挖掘五)越权漏洞 Z2O安全攻防 2024-11-05 21:50 免责声明 由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此 承担任何责任,一旦造成后果请自行承担!本文为连载文章欢迎大家关注红云谈安全公众号! 客服聊天处 进入客服聊天处,发送一条消息并抓包 数据包如下,可以看到有个userid参数,并且
继续阅读金华迪加现场大屏互动系统mobile.do.php接口存在任意文件上传漏洞 附POC
金华迪加现场大屏互动系统mobile.do.php接口存在任意文件上传漏洞 附POC 2024-11-4更新 南风漏洞复现文库 2024-11-04 21:40 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 金华迪加现场大屏互动系统简
继续阅读英飞达医学影像存档与通信系统WebUserLogin.asmx接口存在信息泄露漏洞 附POC
英飞达医学影像存档与通信系统WebUserLogin.asmx接口存在信息泄露漏洞 附POC 2024-11-4更新 南风漏洞复现文库 2024-11-04 21:40 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 英飞达医学影像存档
继续阅读上周关注度较高的产品安全漏洞(20241028-20241103)
上周关注度较高的产品安全漏洞(20241028-20241103) 原创 CNVD CNVD漏洞平台 2024-11-04 16:53 一、境外厂商产品漏洞 1、Microsoft Office Visio远程代码执行漏洞(CNVD-2024-41993) Microsoft Office Visio是美国微软(Microsoft)公司的Office软件系列中的负责绘制流程图和示意图的软件。Mic
继续阅读CVE-2024-37383|Roundcube Webmail存储型XSS漏洞(POC)
CVE-2024-37383|Roundcube Webmail存储型XSS漏洞(POC) alicy 信安百科 2024-11-02 17:48 0x00 前言 Roundcube Webmail是一个开源的基于web的电子邮件客户端,旨在提供用户友好的界面和强大的功能,使用户能够通过web浏览器方便地访问和管理他们的电子邮件。 Roundcube支持标准的邮件协议(如IMAP和SMTP),并提
继续阅读CVE-2024-43532|Microsoft Remote Registry Service特权提升漏洞(POC)
CVE-2024-43532|Microsoft Remote Registry Service特权提升漏洞(POC) alicy 信安百科 2024-11-02 17:48 0x00 前言 Microsoft Remote Registry Service(远程注册表服务)是Windows操作系统中的一个服务,允许远程用户通过网络访问和修改计算机上的注册表。 0x01 漏洞描述 漏洞源于Micr
继续阅读记一次edusrc漏洞挖掘
记一次edusrc漏洞挖掘 原创 青春计协 青春计协 2024-11-01 23:53 GRADUATION 点击蓝字 关注我们 信息收集: 通过其它方式获取了该认证平台的某个用户的密码信息; 漏洞挖掘: A、在学生基本信息处有个:在读证明导出PDF的功能 B、使用burpsuite进行数据包的抓取,发现学号是进行了编码的(base64),对其进行解码就会得到学号 C、因为是采用学号来进行区分的,
继续阅读【安全圈】热门摄像头曝零日漏洞,黑客借此入侵政府部门
【安全圈】热门摄像头曝零日漏洞,黑客借此入侵政府部门 安全圈 2024-11-01 19:01 关键词 零日漏洞 据GreyNoise公司安全研究人员Konstantin Lazarev披露,PTZOptics PTZ 摄像头存在两个零日漏洞,漏洞编号分别是CVE-2024-8956和CVE-2024-8957,目前已经发现有黑客正在利用这些零日漏洞发起网络攻击。 PTZ摄像机是一种集成了平移(P
继续阅读【漏洞推送】CVE-2024-23897 文件读取漏洞(poc)
【漏洞推送】CVE-2024-23897 文件读取漏洞(poc) 原创 大竹 b1gpig信息安全 2024-11-01 18:34 Jenkins安全漏洞 CVE-2024-23897 CVE-2024-23897 是一个影响 Jenkins 的严重安全漏洞,主要特征如下: 漏洞概述 该漏 洞 存在于 Jenkins 的命令行界面(CLI)中,属于本地文件包含(LFI)漏洞,影响以下版本: &#
继续阅读【漏洞预警】ServiceNow Now Platform未授权代码注入漏洞CVE-2024-8923
【漏洞预警】ServiceNow Now Platform未授权代码注入漏洞CVE-2024-8923 cexlife 飓风网络安全 2024-10-31 22:11 漏洞描述: ServiceNow发布安全公告,修复了2个安全漏洞,其中包括一个代码注入漏洞,此漏洞可能允许未认证的用户在Now Platform 的上下文中执行任意代码,或检索敏感信息,鉴于今年早期有利用ServiceNow Now
继续阅读【漏洞通告】Spring Security 静态资源未授权访问漏洞(CVE-2024-38821)
【漏洞通告】Spring Security 静态资源未授权访问漏洞(CVE-2024-38821) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-10-31 17:54 漏洞名称: Spring Security 静态资源未授权访问漏洞(CVE-2024-38821) 组件名称: 威睿-Spring Security 影响范围: Spring Security ≤ 5.7.125.8.0 ≤
继续阅读【漏洞复现】Apache Solr路径身份验证绕过漏洞CVE-2024-45216
【漏洞复现】Apache Solr路径身份验证绕过漏洞CVE-2024-45216 cexlife 飓风网络安全 2024-10-30 22:23 漏洞描述: ApacheSolr是基于ApacheLucene构建的开源搜索平台,PKIAuthenticationPlugin是SolrCloud模式下的身份验证插件,受影响版本中由于PKIAuthenticationPlugin类未正确过滤用户的请
继续阅读研究员在开源AI和ML模型中发现30多个漏洞
研究员在开源AI和ML模型中发现30多个漏洞 THN 代码卫士 2024-10-30 17:47 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 多个开源人工智能 (AI) 和机器学习 (ML) 模型中存在30多个漏洞,其中一些可导致远程代码执行和信息盗取后果。 这些漏洞位于多款工具中如 ChuanhuChatGPT、Lunary和LocalAI 中,通过 Protect AI 的 Hunt
继续阅读苹果悬赏百万美元查找“苹果智能”安全漏洞
苹果悬赏百万美元查找“苹果智能”安全漏洞 安全内参 2024-10-30 17:38 关注我们 带你读懂网络安全 苹果公司近日发布了备受期待的AI服务“苹果智能”(Apple Intelligence),适用于iPhone、iPad和Mac设备。该服务将随iOS 18.1、iPadOS 18.1和macOS Sequoia 15.1系统一同上线,结合设备端和云端处理的先进技术,以支持复杂的AI任务
继续阅读开源安全检测的漏洞,从哪些维度考虑整改标准?两种场景下(供应链软件入库,应用投产上线)针对检测的漏洞需要强制修复吗|总第270周
开源安全检测的漏洞,从哪些维度考虑整改标准?两种场景下(供应链软件入库,应用投产上线)针对检测的漏洞需要强制修复吗|总第270周 原创 群秘 君哥的体历 2024-10-30 06:50 0x1本周话题 话题一:请教个问题,大家如何发现员工拍照泄露的?排除水印,因为只能拿到图片后才能溯源,用处很小。 A1: 摄像头 + 行为分析?或者手机和电脑的终端 DLP 软件和网络层的 DLP ;摄像头物理视
继续阅读